viernes, 24 de septiembre de 2010

FAQ sobre la vulnerabilidad en Twitter


En el día de ayer Twitter se vio afectado por una importante vulnerabilidad en su plataforma twitter.com, de la cual muchos blogs y sitios web, además de medios off line, se han hecho eco. Como ya hemos comentado acá, la tendencia al hackarillismo muchas veces atenta contra la claridad con la que se entienden muchos ataques, y por eso es bueno dejar en claro qué fue lo ocurrido, para aquellos usuarios que aún tengan dudas al respecto.

¿Cómo funcionaba el ataque?

Se trata de un ataque de Cross Site Scripting, más conocido como XSS, por el cual era posible ejecutar código JavaScript en los equipos de las víctimas a través de la publicación de tweets especialmente diseñados para explotar la vulnerabilidad.

¿Cuál era el impacto del ataque?

Cuando el usuario era víctima podían ejecutarse diversos códigos, aunque en su mayoría se trató de publicación de tweets, muchos de ellos con colores especiales o mensajes llamativos o la apertura de ciertos sitios web en el navegador.

¿Cómo se podía proteger el usuario?

Mientras estuvo vigente la vulnerabilidad, la única solución era no utilizar el sitio web de Twitter.com, y hacer uso del servicio sólo a través de las aplicaciones de escritorio o móviles.

¿Está solucionado?

Sí, Twitter solucionó el inconveniente cinco horas después de haber sido publicado, y un par de horas más tarde hizo los ajustes finales. Es decir que el tiempo de vida del ataque fue corto, y ya no hay de qué preocuparse.

¿Twitter ya sabia del ataque?

Sí, la propia empresa se encargó de afirmar que recibieron el reporte hace un mes, que lo habían arreglado pero en recientes modificaciones del sitio web el mismo resurgió.

¿Hubo muchos afectados?

A pesar de que hubo miles de mensajes que se propagaron, la mayoría de ellos no tuvieron impactos importantes en los usuarios. No se detectaron casos de ejecución de código ni ataques masivos exitosos.

¿Se trata de un gusano informático?

No, aunque algunos usuarios habrán leído esa información, se trata de un ataque XSS que tiene la característica de replicarse automáticamente con la publicación de tweets sin que el usuario lo note, ya que utiliza la función onmouseover que permite ser “retwitteada” sólo al pasar el mouse por encima. Por esta característica de propagar el ataque de forma automática es que muchos lo han asemejado a un gusano informático, pero no es un software (una aplicación) por lo que este ataque no debe ser considerado malware.

Espero que con estas dudas quede bien resumido el incidente sufrido ayer que, por tratarse de un servicio con millones de usuarios como Twitter logró hacer más ruido, pero que a la vez es un XSS más de los miles que se observan periódicamente.

Sebastián Bortnik
Coordinador de Awareness & Research

No hay comentarios: